Die Bundesrepublik Deutschland hat jedoch die Erklärung nach Artikel 23 HBÜ
Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats mon-Law-Ländern unter der Bezeichnung „pre-trial discovery of documents" bekannt ist.
Bei der „pre-trial discovery" handelt es sich um ein dem deutschen Prozessrecht unbekanntes Beweismittelverfahren zwischen Klageerhebung und Hauptverhandlung, mit dessen Hilfe die gegnerische Partei oder Dritte zur Vorlage von Beweismitteln gezwungen werden können. Das Gericht wird in diesem Verfahrensstadium nur im Rahmen der Anordnung von Schutz- oder Zwangsmaßnahmen eingeschaltet. Im Übrigen unterliegt das Verfahren weitgehend der Verantwortung der Parteien und ihrer Anwälte. Aufgrund dieser Besonderheit kann „ersuchende Behörde" i. S. d. HBÜ auch eine US-amerikanische Prozesspartei oder ihr Anwalt sein. Dies lässt § 2 Abs. 2 Satz 2 der Rechtshilfeordnung für Zivilsachen (ZRHO) innerhalb der Bundesrepublik Deutschland ausdrücklich zu.
Die Bundesrepublik Deutschland hat jedoch die Erklärung nach Artikel 23 HBÜ abgegeben.
Nach § 14 Abs. 1 des Gesetzes zur Ausführung des Haager Übereinkommens vom 18. März 1970 über die Beweisaufnahme im Ausland in Zivil- und Handelssachen werden dementsprechend Rechtshilfeersuchen nicht erledigt, die ein „pre-trial discovery of documents" zum Gegenstand haben.
Das Haager Beweisaufnahmeübereinkommen regelt nur die Beweisaufnahme im Ausland. Weiter gehende multilaterale Übereinkommen oder bilaterale Abkommen, die auch die Beweisaufnahme im (US-amerikanischen) Inland abdecken, bestehen nicht.
Mit freundlichen Grüßen Lutz Diwell
Für die erste Fallkonstellation bedeutet dies, dass nach Inkrafttreten des Vertrags über die Rechtshilfe in Strafsachen eine direkte Übermittlung von personenbezogenen Daten an das US-Justizministerium unzulässig ist. Bei solchen Herausgabeverlangen muss das Unternehmen zunächst den offiziellen Rechtshilfeweg beschreiten, d. h. an die Landesjustizverwaltung herantreten. Sie hat das Herausgabeverlangen auch unter Datenschutzaspekten zu prüfen. Betroffenen Unternehmen ist zu empfehlen, auch in der Übergangszeit bis zum Inkrafttreten des Vertrages die für die Rechtshilfe in Strafsachen zuständigen Behörden einzuschalten.
Für die zweite Fallkonstellation bedeutet die Antwort des BMJ, dass deutsche Unternehmen ein umfassendes Herausgabeverlangen von USUnternehmen zurückweisen müssen. Hierbei können sie auf die Antwort des BMJ verweisen. Der Düsseldorfer Kreis vertritt hierzu folgende Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats
Auffassung: Pre-Trial Discovery - Ersuchen USamerikanischer Unternehmen sind von § 4 c Abs. 1 Satz 1 Nr. 4 BDSG (der eine Datenübermittlung nur gestattet, wenn sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist) i. V. m. dem „Erledigungsverbot" nach HBÜ grundsätzlich nicht gedeckt. Das zweistufige Verfahren nach Pseudonymisierung kann dagegen weiterhin befürwortet werden.
Zwar scheint damit die Verfahrensweise aus deutscher Sicht vorerst geklärt. Unbefriedigend ist die Situation aber zumindest dann, wenn sich europaweit tätige Unternehmen (ggf. ein und desselben Konzerns) möglicherweise unterschiedlich verhalten. Deshalb hat die AG „Internationaler Datenverkehr" eine Befassung der Art. 29-Datenschutzgruppe befürwortet und ihr die Fragestellungen unterbreitet. Bei der von uns eingeleiteten ersten Umfrageaktion unter ihren Mitgliedern hat sich herausgestellt, dass die rechtliche Beurteilung beider Fallkonstellationen sehr unterschiedlich erfolgt. Teilweise war man sich der Problematiken überhaupt nicht bewusst. Allseits war man sich allerdings einig, dass eine unterschiedliche Handhabung der US-Herausgabeersuchen in Europa möglichst vermieden werden soll. Die Art. 29 Datenschutzgruppe hat deshalb eine Unterarbeitsgrup-pe eingesetzt, die zunächst die Rechtslage in der EU näher beleuchten und eine Stellungnahme zu beiden Fallkonstellationen erarbeiten soll. Ziel ist dabei, die Problematiken einheitlich zu lösen, was u. U. dazu führen kann, dass die Auffassung des Düsseldorfer Kreises zur zweiten Fallkonstellation dort erneut diskutiert werden muss.
Organisation und Technik
RFID Reisepass mit Fingerabdruckdaten
Seit dem 1. November 2007 gibt es nun bereits Reisepässe einer neuen Generation, die einen RFIDChip enthalten, der die auf dem Pass gedruckten Daten und das Gesichtsbild speichert und per Funk aussenden kann („ePass"). RFID bedeutet „Radio Frequency Identification" und meint, dass der Chip sich und damit die Person, die ihn besitzt, per Funk identifizieren kann. Auf den seit dem 1. November 2007 ausgegebenen Pässen wurde der Speicherumfang noch erweitert. Nun werden zusätzlich zu den bisherigen Daten zwei Fingerabdruckbilder auf dem Chip gespeichert.
Die Hauptsorge von Datenschutzbeauftragten ist, dass diese Maßnahme zu einem Dammbruch führt: So soll demnächst auch der Personalausweis, den alle besitzen müssen, mit dem Funkchip ausgestattet sein und ebenfalls Fingerabdrücke und Gesichtsbilder speichern. Es werden folglich alle Bürgerinnen und Bürger „erkennungsdienstlich behandelt".
Für die Sicherheitsbehörden wäre es natürlich ideal, wenn die biometrischen Daten der gesamten Bevölkerung zusätzlich in zentralen Datenbanken gespeichert würden. Sie glauben, dass dann viele Straftaten und Ordnungswidrigkeiten einfach am Computer durch eine Datenbankabfrage aufgeklärt werden könnten. Dabei achten doch in jedem Kriminalfilm die Täterinnen oder Täter darauf, ihre Fingerabdrücke zu entfernen zukünftig könnten sie zudem Fingerabdrücke von Unbeteiligten am Tatort hinterlassen, beispielsweise an einem „geliehenen" Feuerzeug, welches sie dort „vergessen".
Bisher lehnt der Bundesgesetzgeber eine solche zentrale Speicherung ab. Dies wirkt sich aber nur im Inland aus. Setzt man den Reisepass ein, um andere Länder zu besuchen, werden einige dieser Länder, wie z. B. die USA, die biometrischen Daten bei der Grenzkontrolle auslesen und für unbestimmte Zeit in Datenbanken speichern.
Nach dem Ende des Berichtszeitraums ist eine Verfassungsbeschwerde gegen den ePass erhoben worden.
Sicherheit des ePasses Außer wegen der unkontrollierten Verbreitung sensibler biometrischer Daten sorgen sich nicht nur Datenschutzbeauftragte um die Sicherheit der eingesetzten Technik. So können Betroffene prinzipiell nicht feststellen, wenn jemand versucht, die Daten aus dem Chip per Funk auszulesen. Es ist aber zu befürchten, dass mit einem handlichen Lesegerät die Pass- bzw. Personalausweisdaten einfach im Vorbeigehen ausgelesen werden können.
Da ein solches Szenario natürlich inakzeptabel ist, wurden in den Chip des Reisepasses Schutzmechanismen integriert, die ein unberechtigtes Auslesen verhindern sollen. Die erste „Schutzmaßnahme" ist die Verwendung eines passiven RFID-Chips mit geringer Reichweite. Passiv bedeutet, dass der Chip nicht von allein senden kann, sondern nur Lesegeräten antworten kann, die maximal 10-15 cm entfernt sind. In der Praxis sind je nach Aufwand auch größere Entfernungen möglich. Insbesondere ist ein Abhören einer erlaubten Funk-Kommunikation zwischen Lesegerät und Pass (z. B.